Martin Nachtigall

Interview mit Martin Nachtigall von systemworkx

Lieber Martin Nachtigall, kannst Du uns etwas zu Deinem Hintergrund erzählen? Wie bist Du zur IT-Security gekommen?

Als ausgebildeter Dipl.-Ing. (FH) Elektrotechnik habe ich natürlich auch eine IT-Grundausbildung. Bei meiner 16-jährigen Tätigkeit im Vertrieb und vertriebsnahen Positionen eines Telekom-Ausrüsters hatte ich zwar mit IT und IT-Sicherheit wenig zu tun, aber das Grundverständnis ist geblieben.

Nach dem beruflichen Wechsel in den Bereich PLM kam mir das Thema TISAX immer wieder unter, da der Kundenstamm überwiegend im Automotive-Zulieferer-Umfeld lag. Zu der Zeit hatte ich allerdings nicht die Motivation, dies zu vertiefen, da mein damaliger Arbeitgeber im Bereich Informationssicherheit nichts anbieten konnte.

Als ich dann zur Firma systemworkx kam, wurde das Thema TISAX und Informationssicherheit vertrieblich von einer Kollegin abgedeckt. Da mir bewusst war, dass dieses Thema an Relevanz gewinnt und die Kunden, die ich bis dahin bei meinem früheren Arbeitgeber betreut hatte, vor allem im Bereich TISAX Unterstützungsbedarf haben müssten, hatte ich mich in die Materie eingearbeitet. Nach dem Weggang der Vertriebskollegin nach ca. einem halben Jahr hatte ich mich dann als Nachfolger platziert. Unser Informationssicherheitsteam umfasst aber nicht nur mich, sondern auch unsere Berater und IT-Spezialisten. So können wir den Bedarf an Informationssicherheitsthemen aus allen Blickwinkeln betrachten und Lösungen anbieten.

Was macht Dir besonders Freude in Deinem Job?

Wenn Kunden sich pro-aktiv mit einer Problemstellung bzw. einem Bedarf melden oder man in einem Kundengespräch eine Herausforderung identifiziert und man weiß, dass man ihnen helfen kann. Erst dann entsteht ein Geschäft, das für beide Seiten einen Gewinn bringt und zu einer guten Kundenbeziehung führt.

Was beschäftigt Dich und Dein Team aktuell besonders – mit welchen Fragestellungen kommen Kunden auf Dich zu?

Aktuell beschäftigt uns vor allem, wie man mit den wachsenden Anfragen und der zunehmenden Komplexität im Bereich Informationssicherheit umgeht? Wie kann man sich sinnvoll verstärken, um zusätzlich Kapazität zu schaffen und evtl. noch nicht belegte Tätigkeitsfelder zu erschließen.

Eine spezielle Herausforderung ist aktuell die Umstellung auf den neuen VDA ISA 6.0 Katalog, der sowohl Kunden als auch uns vor Veränderungen stellt. Hier gilt es, sich frühzeitig auf den neuesten Stand zu bringen, die geforderte Dokumentation anzupassen und schlussendlich auch die Kunden beraten zu können, was diese Umstellung für sie individuell bedeutet.

Viele unserer Kunden erkundigen sich oft nach den Kosten für eine TISAX®-Zertifizierung, oder nach einer abgespeckten Variante für Kleinkunden wie Ingenieursbüros. Wir verstehen, dass Transparenz hier für viele wichtig ist, jedoch sind die Kosten und Umfang einer Zertifizierung immer vom jeweiligen Kunden abhängig. Natürlich interessiert die meisten, welche Vorteile sie überhaupt von einer Zertifizierung haben, diese liegen in der Stärkung der Unternehmenssicherheit und dem Kundenvertrauen. Unsere Dienstleistungen gehen über das reine Consulting hinaus und umfassen

auch weitergehende Unterstützung, um eine erfolgreiche Zertifizierung zu gewährleisten. Wir stehen Ihnen während des gesamten Prozesses zur Seite.

Warum ist die systemworkx AG der optimale Anbieter in Sachen Informationssicherheit?

Weil wir nicht nur im Bereich TISAX- und Informationssicherheitsberatung Kompetenz im Haus haben, sondern einen ganzheitlichen Lösungsansatz bieten, um die Informationssicherheit in ihrem Haus zu steigern.

Wir verfolgen einen pragmatischen Ansatz, der unsere Kunden mit „Augenmaß“ hinsichtlich Kosten und Nutzen zum Ziel führt.

Welche Arten von Unternehmen oder Branchen profitieren in der Regel am meisten von eurem Angebot?

Im Bereich TISAX kommen unsere Kunden hauptsächlich aus dem Automotive-Zulieferer Bereich, die wir auch mit anderen Lösungen ganzheitlich bedienen.

Abgesehen davon sind prinzipiell alle Branchen vom Thema Informationssicherheit betroffen und können von uns bedient werden. Aktuell liegt der Fokus auf den Branchen, die wir schon bedienen; Luftfahrtindustrie, Maschinenbau und generell Fertigungsunternehmen.

Was unterscheidet euch von anderen bekannten Anbietenden?

Wir bieten einen ganzheitlichen Ansatz, bei dem der Kunde neben der Beratung zur Informationssicherheit auch entsprechende IT-Software, Hardwarelösungen und die notwendigen Managed Services erhält, um den IT-Betrieb zu gewährleisten und die IT-Sicherheit zu erhöhen.

Darüber hinaus bieten wir mit Schwachstellentests auch einen wichtigen Teil, um Sicherheitslücken in Firmen zu identifizieren und basierend auf unserem umfangreichen Portfolio auch die Möglichkeit diese wirksam zu schließen.

Könntest du Beispiele für die einzigartige Kombination aus Experten und Software-Partnern von systemworkx AG nennen, und wie diese das Angebot untermauern?

Unsere Mitarbeiter sind alle Experten auf ihrem Gebiet. So sind unsere Informationssicherheitsberater nicht nur in den Basics des VDA ISA oder der ISO 27001 geschult, sie sind alle Auditoren in ihrem Bereich und verfügen über umfangreiches Know-How, auch außerhalb der Informationssicherheit. Ein weiteres gutes Beispiel hierfür ist unser Experte, der die Schwachstellentests durchführt und entsprechendes Know-How im Bereich Firewall wie z.B. CheckPoint aufweisen kann.

Hierzu gibt es verschiedenste Beispiele in unserer Firma, wo sich Experten auch mit den verschiedensten SW-Partnerprodukten wie z.B. Veeam für Backup, Graylog für Eventlogging, Trend Micro für XDR/EDR und End-Point-Protection auseinandersetzen und sich entsprechend zertifizieren.

Wie geht ihr bei der Umsetzung eines Informationssicherheitsmanagementsystems bei euren Kunden vor?

Um eine umfassende Informationssicherheit zu gewährleisten, setzen wir auf einen strukturierten Prozess. Nach Auftragsvergabe durchläuft das Projekt fünf Phasen. Zunächst sensibilisieren wir das Management für die Bedeutung der Informationssicherheit. Im nächsten Schritt führen wir eine Scope- und Gap-Analyse durch, um die Auditfähigkeit sicherzustellen.

Auf Basis dieser Analyse erstellen wir einen individuellen Fahrplan für die Umsetzung von technischen und organisatorischen Maßnahmen (TOMs). Dabei berücksichtigen wir spezifische

Anforderungen unserer Kunden. Nach Definition und Planung setzen wir die notwendigen Maßnahmen um, wobei alle relevanten Aspekte beachtet werden.

Wir begleiten unsere Kunden eng durch den gesamten Prozess, insbesondere während der Auditphase. Dies sichert nicht nur eine erfolgreiche Umsetzung der Sicherheitsmaßnahmen, sondern auch eine reibungslose Auditdurchführung. Unsere umfassende Unterstützung stärkt die Informationssicherheit effektiv und entspricht den Anforderungen.

Auch nach einem bestandenen Audit bleiben wir an der Seite unserer Kunden und bieten weiterführende Unterstützung, etwa durch punktuelles Coaching, interne Audits, Schwachstellenanalysen, Stellung externer ISBs, Schulungen und vieles mehr.

Welche Tipps in Punkto Informationssicherheit möchtet ihr potentiellen Kunden auf den Weg geben?

Ein Informationssicherheitsmanagementsystem und das dazugehörige Audit ist keine „one shot“ Aktion, die nach dem Audit in der Schublade verschwinden sollte. Um die Informationssicherheit nachhaltig zu erhöhen und sich damit vor den wirtschaftlichen Folgen eines Schadens zu schützen, ist es sehr wichtig, die etablierten Prozesse und Maßnahmen zu leben und in den beruflichen Alltag als Routine einfließen zu lassen. Nur dann zieht man aus den getätigten Investitionen den größtmöglichen Mehrwert für sein Unternehmen.

Was sind aus Deiner Sicht Falschaussagen im Bereich Informationssicherheit, was siehst Du vielleicht etwas anders als vorherrschende Meinungen?

Eine weit verbreitete und aus unserer Sicht falsche Einstellung ist, dass man Informationssicherheit oft mit den Begriffen Datenschutz, IT-Sicherheit und Datensicherheit gleichgestellt und in dem Zusammenhang auf die IT-Abteilung verweist, die dies zu verantworten habe.

Informationssicherheit unterscheidet sich wesentlich von Datenschutz, IT-Sicherheit und Datensicherheit. Datenschutz fokussiert sich auf den Schutz personenbezogener Daten, was teilweise im Widerspruch zur Informationssicherheit steht, die auf umfassende Datensammlung und Auswertung abzielt. IT-Sicherheit bezieht sich lediglich auf den Schutz von Informationstechnologien, was nur einen Teilaspekt der Informationssicherheit darstellt. Datensicherheit konzentriert sich auf den Schutz der Daten vor Verlust oder Beschädigung.

Im Gegensatz dazu umfasst Informationssicherheit nicht nur Daten und Technologien, sondern integriert auch Prozesse und Menschen. Ihr Ziel ist es, Informationen als Ganzes zu schützen. Informationssicherheit erfordert eine unternehmensweite Verantwortung, getrieben und getragen vom Management, und geht über die rein technologische Ebene hinaus.

Wie geht es weiter – Was steht bei Euch auf der Roadmap, was habt Ihr Euch vorgenommen?

Auf Basis der wachsenden Nachfrage nach Informationssicherheit wollen wir uns personell verstärken; vor allem in Bereich Consulting. Zudem sind wir bestrebt, bezüglich IT-Sicherheit und Schwachstellentests die Kompetenzen auszubauen und Redundanzen zu schaffen, sowohl im Bereich der eingesetzten Technologien als auch personell.